云上攻防体系介绍-公有云攻击面介绍

最新推荐文章于 2025-09-17 15:22:17 发布
最新推荐文章于 2025-09-17 15:22:17 发布
阅读量461 收藏 19
点赞数 15
CC 4.0 BY-SA版权
分类专栏: 云上攻防 文章标签: 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/rasssel/article/details/151794656

一、总体框架(先把地图画清楚)

公有云攻击面大致可以分成两大类

  • 针对租户(Tenant)的攻击 —— 攻击目标是你在云上租的资源(虚拟机、容器、存储桶、函数等)。

  • 针对云平台本身的攻击 —— 攻击目标是云厂商或云平台的组件/服务(例如文件处理服务、消息队列、编排/监控系统、虚拟化层等),目的是影响更多租户或取得更高权限。

两类的区别在于攻击目标与影响范围
租户攻击通常影响单个客户或业务;平台攻击可能影响大量租户或胁迫整个平台。

二、针对租户的常见攻击面(按条目讲清楚)

1. 传统 Web 漏洞(仍然是主战场)

  • 例子:SQL 注入、文件上传漏洞、弱口令、跨站脚本(XSS)、SSRF 等。

  • 怎么利用:例如 SQL 注入能直接读写数据库;文件上传可写 webshell;弱口令可暴力拿到登陆。

  • 防护:输入校验/参数化查询(防注入)、文件类型和后缀严格校验、密码策略+多因子认证(MFA)、WAF+日志监控。

2. AccessKey / 凭证泄露(云的“万能钥匙”问题)

  • 是什么:AccessKey、Secret、ServiceAccount Token 等是访问云 API 的凭证。泄露就等于别人拿到你家的门禁卡。

  • 风险:拿到后可直接调用云 API —— 列出/改写 bucket、起/停实例、拿到更多凭证。

  • 常见泄露途径:源码泄露(Git 中误提交)、CI/CD

最低0.47元/天 解锁文章
云上攻防&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
qq_46081990的博客
04-19 2383
对象存储是一种用于存储和管理大量非结构化数据的技术,也被称为云存储。它将数据以对象的形式进行存储,并为每个对象分配唯一的标识符。与传统的文件系统不同,对象存储不采用多层级的文件结构,而是采用一个称为"桶(Bucket)"的存储空间,其中包含大量扁平化的对象。对象存储的最大特点是对象名称即为一个域名地址,一旦对象被设置为公开访问,任何人都可以通过访问该地址获取对象。同时,对象存储提供了REST API的方式,使得对象的拥有者可以方便地访问和管理其中的对象。
云上攻防-云原生篇&Docker安全&系统内核&版本漏洞&CDK自动利用&容器逃逸
SuperherRo的博客
03-03 1852
1、云原生-Docker安全-容器逃逸&内核漏洞 2、云原生-Docker安全-容器逃逸&版本漏洞 3、云原生-Docker安全-容器逃逸&CDK自动化
云上攻防-云服务篇&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
今天是几号的博客
10-11 3889
云服务,顾名思义就是云上服务,在云厂商上购买的产品服务。国内有阿里云、腾讯云、华为云、天翼云、Ucloud、金山云等,国外有亚马逊的AWS、Google的GCP、微软的Azure,IBM云等。各个云厂商对云服务的叫法都不统一,这里统一以AWS为例。S3 对象存储Simple Storage Service,简单的说就是一个类似网盘的东西EC2 即弹性计算服务Elastic Compute Cloud,简单的说就是在云上的一台虚拟机。
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行
ZL_1618的博客
06-28 1391
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。其核心的特点就是能够自主的管理容器来保证云平台中的容器按照用户的期望状态运行着,管理员可以加载一个微型服务,让规划器来找到合适的位置,同时,Kubernetes在系统提升工具以及人性化方面,让用户能够方便的部署自己的应用。
云上攻防-云服务篇&弹性计算服务器&云数据库&实例元数据&控制角色&AK控制台接管
SuperherRo的博客
02-29 1611
1、云服务-弹性计算服务器-元数据&SSRF&AK 2、云服务-云数据库-外部连接&权限提升
云上攻防体系介绍-云原生攻击面介绍
最新发布
rasssel的博客
09-17 893
云原生架构把应用拆成很多小“容器单位”(Pod),并由 Kubernetes(K8s)等平台统一管理。这带来弹性和灵活性,但也产生:每个 Pod、每条网络路径、每个控制组件都可能成为入口,一旦某个微单元被攻破,攻击可以像接力一样横向扩散到整个集群或云内服务。
云上攻防体系介绍-私有云攻击面介绍
rasssel的博客
09-17 912
私有云的,但它部署在企业自己的网络里、常与生产业务网同域,,一旦被攻破,攻击能更容易横向扩散,影响更大。
云上攻防的实践与思考.pdf
08-11
首先,文档指出云上的威胁场景主要集中在利用公有云上租户的不安全应用与服务配置作为突破口,以及利用云服务本身存在的问题进行攻击。其中,包括但不限于云服务认证Key泄漏问题、云服务账号的不安全配置、云服务...
云上攻防体系介绍
m0_75202373的博客
09-07 207
安全 (Cloud security ),是指基于云计算商业模式应用的安全软件,硬件,用户,机构,安全云平台的总称。“云安全”是“云计算”技术的重要分支,已经在反病毒领域当中获得了广泛应用。云安全通过网状的大量客户端对网络中软件行为的异常监测,获取互联网中木马、恶意程序的最新信息,推送到服务端进行自动分析和处理,再把病毒和木马的解决方案分发到每一个客户端。整个互联网,变成了一个超级大的杀毒软件,这就是云安全计划的宏伟目标。云安全的概念是什么?云安全包含哪些方面?-华为云参考课件:什么是云安全
云上攻防—OSS存储&任意上传&域名接管&AccessKey泄露
2301_76227305的博客
06-23 1314
以上就是常见的OSS安全问题。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
云上攻防-云原生篇&K8s安全&Config泄漏&Etcd存储&Dashboard鉴权&Proxy暴露
SuperherRo的博客
03-06 1874
1、云原生-K8s安全-etcd未授权访问 2、云原生-K8s安全-Dashboard未授权访问 3、云原生-K8s安全-Configfile鉴权文件泄漏 4、云原生-K8s安全-Kubectl Proxy不安全配置
云上攻防-云服务篇&弹性计算&云数据库&实例元数据&控制角色&AK控制台接管
今天是几号的博客
10-12 2130
元数据解释:实例元数据(metadata)包含了弹性计算云服务器实例在阿里云系统中的信息,您可以在运行中的实例内方便地查看实例元数据,并基于实例元数据配置或管理实例。(基本信息:实例ID、IP地址、网卡MAC地址、操作系统类型等信息。实例标识包括实例标识文档和实例标识签名,所有信息均实时生成,常用于快速辨别实例身份。各大云元数据地址:阿里云元数据地址:http://100.100.100.200/腾讯云元数据地址:http://metadata.tencentyun.com/
云上攻防—Docker安全&容器逃逸&特权模式&危险挂载
2301_76227305的博客
06-30 934
以上就是这次的容器逃逸手法啦。最后,以上仅为个人的拙见,如何有不对的地方,欢迎各位师傅指正与补充,有兴趣的师傅可以一起交流学习。
云上攻防-云原生篇&K8s安全&实战场景&攻击Pod&污点Taint&横向移动&容器逃逸
SuperherRo的博客
03-08 1385
1、云原生-K8s安全-横向移动-污点Taint 2、云原生-K8s安全-Kubernetes实战场景
Day93:云上攻防-云服务篇&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
qq_61553520的博客
04-10 3220
小迪安全-Day93:云上攻防-云服务篇&对象存储&Bucket桶&任意上传&域名接管&AccessKey泄漏
浅谈云上攻防——云服务器攻防矩阵
YDclub的博客
01-10 2977
前言 云服务器(Cloud Virtual Machine,CVM)是一种较为常见的云服务,为用户提供安全可靠以及高效的计算服务。用户可以灵活的扩展以及缩减计算资源,以适应变化的业务需求。使用云服务器可以极大降低用户的软硬件采购成本以及IT 运维成本。 由于云服务器中承载着用户的业务以及数据,其安全性尤为重要而云服务器的风险往往来自于两方面:云厂商平台侧的风险与用户在使用云服务器时的风险。与用户侧风险相比,平台侧的漏洞往往带来更广泛的影响,例如于2018 披露的AWS Launching EC2s di
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
明弟有理想的博客
09-13 2502
随着越来越多企业开始上云的步伐,在攻防演练中常常碰到云相关的场景,例:公有云、私有云、混合云、虚拟化集群等。以往渗透路径「外网突破->提权->权限维持->信息收集->横向移动->循环收集信息」,直到获得重要目标系统。但随着业务上云以及虚拟化技术的引入改变了这种格局,也打开了新的入侵路径
云上攻防的攻击思路
Websec
06-28 1055
攻击路径:云服务账号AK/SK -> 云服务公开API -> 云服务资源调用(OS镜像,容器镜像,存储桶,数据库,Userdata等)-> 敏感信息泄露(数据,凭据等)RCE -> EC2 Metadata API -> EC2 Userdata -> 敏感凭证 -> 其他EC2或者云服务。攻击路径:公有云厂商办公网/DMZ区域 -> 公有云员工权限 -> 公有云管理面网络 -> 公有云生产网。攻击路径:第三方软件漏洞 -> 使用该软件的云服务 -> 云服务系统/平台 -> 其他租户数据。
CIS 2020 网络安全创新大会:云上攻防安全实战
通常情况下,网络攻击的成功率很大程度上依赖于用户的错误操作,比如点击恶意链接、下载不明软件或泄露敏感信息。通过钓鱼演练,可以教育员工识别钓鱼邮件或其他形式的网络诈骗,并通过模拟攻击来测试员工的安全意识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值